解明!password_hash関数で生成される文字列の正体 - Innovator Japan Engineers’ Blog
こんにちは、CTOの山岡(@hiro_y)です。 (この記事は、来る2022年4月9日から開催されるPHPerKaigi 2022に登壇応募したものの選出されなかった題材をブログに書くことで供養しようという試みです。) Webシステムでパスワードを保存するとき、そのままの値(平文)で保存してはいけません。データベースの中身が何かしらのインシデントで漏洩してしまった場合、パスワードの内容が明らかになってしまうからです(漏洩の時点でもっと酷い事態になっていそうではありますが…)。では、どのような対策を行えばよいのでしょうか。 パスワードはハッシュ化しよう 一つ目の対策は、パスワードを秘密鍵を使って暗号化、保存する方法です。 その場合、それぞれの暗号化に共通の秘密鍵を使わないことが大切です。また、初期化ベクトル(IV)としてそれぞれ異なるものを用意、ブロック暗号化モードを利用して暗号化した結果が
安全なハッシュ関数とpassword_hash() - KUSANAGI Tech Column
PHP 5.5.0から導入されたpassword_hash()関数について、エンジニアとしての視点から解説します。ハッシュ関数は、入力されたパスワードのデータを安全に保存するために用いられますが、その安全性は時代とともに変動します。SHA-1など昔は安全とされたハッシュ関数が現在では脆弱になり、新しいアルゴリズムへと更新されていく必要があります。password_hash()関数は、このような変化に対応するために作られ、アルゴリズムの変更に影響を受けずにユーザーデータを保護します。記事ではこの関数の仕組みを詳しく紹介します。 今回よりここで連載をさせていただくことになった小山 (koyhoge)です。フリーランスでエンジニアをしておりまして、他にニフティクラウド mobile backend (NCMB) という mBaaS サービスのエバンジェリストもやっているので、それがきっかけでここ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
